ISC2 CISSP Report
NTTデータ先端技術株式会社 セキュリティ事業部
セキュリティコンサルティングビジネスユニット ITセキュリティグループ長 羽生 千亜紀氏,CISSP
セキュリティソリューションビジネスユニット セキュリティアーキテクチャグループ グループ長
インシデントレスポンスチーム(IL-CSIRT)植草 祐則氏,CISSP
NTTデータ先端技術株式会社は、株式会社NTTデータが1999年4月1日に全社横串組織として発足させたCOE(Center Of Excellence)システム本部の
活動をより強化するため、技術支援する会社として設立されました。2009年7月、NTTデータグループ会社3社との統合、
2011年7月、NTTデータ・セキュリティ株式会社との統合を行い、セキュリティ分野の事業強化を行いました。同社のセキュリティ事業部セキュリティコンサルティングビジネスユニットの羽生千亜紀氏とセキュリティソリューション ビジネスユニットの植草祐則氏に同事業部の事業展開、CISSP導入の目的や今後の取得者増加計画などについて伺いました。
コンサルティング実務遂行や瞬発力が問われるインシデントレスポンスの現場対応でCBK10ドメインの知識は非常に有用であると評価 羽生 千亜紀 氏 |
私たちが所属しているセキュリティ事業部は、NTTデータのセキュリティ分野の戦略子会社であった、 NTTデータ・セキュリティ(1999年設立)がベースとなっている事業部です。セキュリティ分野の戦略子 会社の立ち位置でしたので、幅広いセキュリティ人材の育成を目標に、2005年頃からCISSPの資格取得者を徐々に増やしていました。
【植草氏】
当社は、NTTデータが展開する事業の中でプラットフォーム技術、あるいは先端的な技術を取り扱っており、 これらをNTTデータにサービスやソリューションとして提供するのが創業時からのミッションでした。
セキュリティ事業を強化するために私たちが所属していたNTTデータ・セキュリティと2011年に統合しました。
【羽生氏】
当社の立場はNTTデータが直接の顧客となるケースが大半です。当社は、スピード感よく新技術をキャッチアップ することにより、NTTデータが顧客企業に提供する各種サービスを補強する役割を担っています。NTTデータとは、 ソリューションを提供するパートナー会社という位置付けです。
【植草氏】
統合前はPCI DSS*1認証取得支援などが主要事業でしたが、現在は事業部内のセクションによって 事業内容が大きく四つに分類されています。
羽生の所属するセキュリティコンサルティングビジネスユニットはPCI DSSやISMS (情報セキュリティマネジメントシステム)の認証取得支援などのコンサルティングが中心です。
私が所属するセキュリティソリューションビジネスユニットは、ソリューションという名称の通り、 顧客企業に対し情報漏洩防止のための暗号化や持ち出し制御など様々な対策に対応できる ソリューションや、セキュリティ設計支援サービス、インシデントレスポンスサービスなどを 提供しています。
その他に、セキュリティ診断部門と監視サービス部門があります。
セキュリティ事業部は統合前から「尖がっていこう」「一番を目指そう」を合言葉に、 CISSP資格の取得を目指していましたので、社内におけるホルダーの比率は高いと思います。
NTTデータグループの昇格要件のための資格の一つとしてCISSP採用CSIRTメンバーとしての資質や力量を測る指標にも 植草 祐則 氏 |
取得の具体的効果としては、CISSPのCBK 10ドメインを学べたことです。 「情報セキュリティガバナンスとリスクマネジメント」、「暗号学」から「法、規則、コンプライアンス、捜査」まで 幅広いドメインにわたり、セキュリティの多種多様な側面の知識を包括的に学べるという点です。
セキュリティに関するコンサルティングに携わっている人材であれば、いくつかのドメイン程度は既存の知識として 持ち合わせていますが、10ドメイン全体にわたる知識を習得しているわけではありません。
CISSP資格取得のための学習を通じて、かかる領域の基本的な知識を網羅的に習得できます。
PCI DSSも12要件があり、CISSPの10ドメインに相当する多様な領域でのセキュリティ要件の知識を必要としています。 これらにある程度合致しているCISSPの知識体系は、実務遂行においても総じて有用であると評価しています。
【植草氏】
私のソリューション部門でいいますと、「インシデントレスポンス」業務に10ドメインの知識は非常に役立っています。 顧客企業内で情報セキュリティのインシデントが発生した際にはその対応、具体的な支援の「瞬発力」が問われます。 一度でも10ドメインの内容を学んだ土台があるので、土壇場で迅速に対応できることなど非常に励みになります。 もう一点、取得効果を挙げますと、CISSP資格取得がCSIRT(Computer Security Incident Response Team、 シーサート/インターネット上で主にセキュリティ上の問題が起きていないかどうか監視するとともに、 万が一問題が発生した場合にその原因解析や影響範囲の調査を行ったりする組織の総称)メンバーとしての 資質や力量を測る指標にもなることです。なぜならば、JPCERTコーディネーションセンター(JPCERT/CC)が 求める人材像が10ドメインの内容とも関連が強いからです。
JPCERT/CCは、特定の政府機関や企業からは独立した中立の組織として、日本における情報セキュリティ対策 活動の向上に積極的に取り組んでいます。インターネットを介して発生する侵入やサービス妨害等の インシデントについて、日本国内のサイトに関する報告の受け付け、対応の支援、発生状況の把握、 手口の分析、再発防止のための対策の検討や助言などを、技術的な立場から行っています。
現在、CSIRT設立が一種の潮流となりつつあるなかで、多数の企業からどのような人材を 揃えたらいいのか分からないとの声をよく聞きます。その際にはCISSPの資格取得可能な 人材がいるならば、CSIRTメンバーとしての素養があるのではと、さりげなくCISSP資格取得を推奨しています。
【羽生氏】
個人の立場で言えば、資格を取得することで商談などの際にセキュリティに関するどのような領域 の話題があがっても、10ドメインの学習で全般的な知識を網羅した経験があるので驚いたり困惑 したりすることがなくなりました。
【植草氏】
資格取得は「ゴール」というより、「入口」として捉えています。 官公庁においても、調達の要件としてCISSPの資格保有者が対応することを 挙げているケースを散見します。官公庁にもその有用性が認知浸透されてきたとみています。
現在に至るまで毎年少人数ですがCISSP資格取得者を新たに増やしています。 当社は日本国内初のQSA(PCI SSC認定監査機関)として、顧客企業にPCI DSSの認証を取得させるにあたり、 コンサルタントはCISSPの取得が必須要件のため、私のコンサルティング部門ではCISSPのホルダーを今後も引き続き段階的に増やす計画です。
NTTデータグループ内に資格認定制度があり、あるランクに承認される要件としてCISSPも採用されています。 セキュリティ事業部では取得者の数値的な目標も挙げています。事業部内の既存の取得者が各種ミーティングの際に 未取得者に受験を推奨したり、学習方法などの質問に対応したりしています。
*1 PCIDSSとは
加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に
取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準。
Payment Card Industry Data Security Standardsの頭文字をとったもので、
国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が
共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用、
管理されている。 (日本カード情報セキュリティ協議会のWebサイトから引用)
インタビューにお答えいただき、誠にありがとうございました。(インタビュー日:2014年6月)
本インタビュー記事はPDFファイルでダウンロード可能です。